FACULTAD DE INGENIERÍA Y ARQUITECTURA

CARRERA DE INGENIERÍA DE SISTEMAS

UNIDAD 2:
REDES CONMUTADAS
SEGMENTACIÓN DE REDES

Redes conmutadas

REDES DE COMPUTADORAS

2021-2 | SEMANA_03A
REDES CONMUTADAS
Agenda
Diseño de LAN
• Las redes conmutadas sustentan las operaciones de las empresas.
• Los datos, la voz y el vídeo convergen en una red conmutada.
• Una red conmutada en una pequeña a mediana empresa.
El entorno conmutado
• Los switches de capa 2 reenvían datos en la red LAN de una
empresa.
• Las tramas se reenvían en una red conmutada.
• Comparar un dominio de colisiones con un dominio de difusión.
Diseño de la LAN
Antes … Redes separadas

Voice Network

Video Network

Data Network
Redes convergentes
Complejidad creciente de las redes
• El mundo digital está cambiando.
• Se debe acceder a la información desde cualquier lugar del mundo.
Redes convergentes
Elementos de una red convergente

• Para admitir la colaboración, las redes emplean

soluciones convergentes.
• Se ofrecen diversos servicios de datos, como
sistemas de voz, teléfonos IP, gateways de voz,
compatibilidad con vídeo y videoconferencias.
• El control de llamadas, la mensajería de voz, la
movilidad y el contestador automático también
son características comunes.
▪ Varios tipos de tráfico y una sola red para
administrar.
▪ Ahorros sustanciales en la instalación y
administración de redes de voz, vídeo y datos
independientes.
▪ Integra la administración de TI.
Redes convergentes
Arquitectura de red sin fronteras

• Debe permitir a las

organizaciones conectarse con
cualquier persona, en cualquier
lugar, en cualquier momento y en
cualquier dispositivo de forma
segura, confiable y sin
inconvenientes.

• Diseñada para enfrentar los

desafíos comerciales y de TI,
como la admisión de redes
convergentes y el cambio de los
patrones de trabajo.
 Redes convergentes
Jerarquía en las redes conmutadas sin fronteras

Principios de diseño de la red:

1. Jerárquico_ facilita el
entendimiento del rol de cada
dispositivo en cada nivel, simplifica
la instalación, operación y gestión,
lo que reduce las fallas.
2. Modularidad_ permite el
crecimiento y la integración de
servicios en demanda.
3. Resiliencia_ capacidad de
recuperación, mantiene la red
operacional.
4. Flexibilidad_ permite compartir la
carga de tráfico de manera
inteligente utilizando todos los
recursos de la red.
Redes convergentes
Capas de acceso, distribución y principal
CONFIGURACIÓN BÁSICA DEL SWITCH
¿Para qué nos sirven los switches?
• Los switches se usan para conectar varios dispositivos en las redes. Los switches LAN son
responsables de controlar el flujo de datos en la capa de acceso y de dirigirlo a los recursos
conectados en red.

• Típicamente los switches tienen una pre-configuración y no necesitan ninguna configuración

adicional para comenzar a funcionar. Sin embargo, se pueden configurar manualmente para
satisfacer mejor las necesidades de la red. Esto incluye el ajuste de los requisitos de
velocidad, de ancho de banda y de seguridad de los puertos.

• Además, los switches se pueden administrar de manera local y remota. Para administrar un
switch de forma remota, este se debe configurar con una dirección IP y un gateway
predeterminado.
Configuración básica del switch
• La configuración de dirección IP en un switch, se realiza asignando una dirección IP a la
interfaz virtual del switch (SVI). La SVI es una interfaz virtual, no un puerto físico del switch.
Esta configuración servirá por ejemplo para la Administración Remota de Switch
• SVI es un concepto relacionado con las VLAN. Las VLAN son grupos lógicos numerados a los
que se pueden asignar puertos físicos. Los parámetros de configuración aplicados a una VLAN
también se aplican a todos los puertos asignados a esa VLAN.
• De manera predeterminada, el switch está configurado para que el control de la
administración del switch se realice mediante la VLAN 1. Todos los puertos se asignan a la
VLAN 1 de manera predeterminada. Por motivos de seguridad, se recomienda usar una VLAN
de administración distinta de la VLAN 1.
• Tenga en cuenta que el propósito de esta configuración IP es solamente obtener acceso a la
administración remota del switch; la configuración IP no permite que el switch enrute
paquetes de capa 3.
Configuración básica del switch
S1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)# interface vlan 99
S1(config-if)# ip address 172.17.99.11 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# end
S1# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
S1#
Configuración básica del switch

Default Gateway
172.17.99.11

172.17.99.1

172.17.99.100
Def Gw 172.17.99.1

S1(config)# ip default-gateway 172.17.99.1

S1(config)# end
S1#
Características de los switches
Característica Definición
• El costo de un switch depende del número de interfaces y su velocidad,
Costo características que soporte, y su capacidad de expansión.
• Los switches de red deben soportar la cantidad requerida de dispositivos en la
Densidad de puertos red.
• Algunos switches soportan Power over Ethernet (PoE) .
Energía • Algunos switches más grandes soportan alimentación redundante de energía.

Confiabilidad • El switch debe brindar acceso continuo a la red.

Velocidad de puertos • La velocidad de los puertos influye en la velocidad de connexion a la red.

• La capacidad de almacenar más tramas recibidas antes de comenzar a
Almacenamiento de
descartarlas es útil, especialmente cuando puede haber puertos congestionados
tramas conectados a servidores o a otras partes de la red.
Escalabilidad • Switch should provide the opportunity for growth
Capa 2 (Layer 2, L2) y Capa 3 (Layer 3, L3)
• L3 switches se usan típicamente en las capas core y distribución.

• Pueden construir tablas de enrutamiento, soportar algunos

protocolos de enrutamiento, reenviar paquetes casi a la velocidad
del reenvío de paquetes a nivel de capa 2.

• Multilayer switches pueden soportar hardware especializado,

como los circuitos integrados de aplicaciones específicas (ASICs).

• Comúnmente los switches de acceso son L2 switches.

MÉTODOS DE CONMUTACIÓN
Redes conmutadas
Función de las redes conmutadas

• Las tecnologías de conmutación son

fundamentales para el diseño de una
red.
• La conmutación permite que el tráfico
se envíe solo cuando se necesita en
la mayoría de los casos, con métodos
más rápidos.
• Una red LAN conmutada:
▪ Permite mayor flexibilidad
▪ Permite mejor administración de
tráfico
▪ Admite calidad de servicio,
seguridad adicional, redes
inalámbricas, telefonía IP y
servicios de movilidad
Reenvío de tramas
Switching como un concepto general en redes y
telecomunicaciones
• Un switch toma una decisión sobre la base del:
• Puerto de entrada y
• Dirección MAC de destino.
• Los switches LAN mantienen una tabla que usan para determinar cómo reenviar el
tráfico a través del switch.

• Los switches LAN reenvían tramas de Ethernet según la dirección MAC de destino
de las tramas.
Reenvío de tramas
Completar en forma dinámica la tabla de direcciones MAC de
un switch
• Para transmitir una trama, el switch primero debe averiguar qué dispositivos tiene
en cada puerto.
• A medida que el switch detecta la relación entre puertos y dispositivos, crea una
tabla denominada "tabla de direcciones MAC" o "tabla de memoria de contenido
direccionable" (CAM).
• CAM es un tipo de memoria especial que se usa en las aplicaciones de búsqueda de
alta velocidad.
• La información en la tabla de direcciones MAC se utiliza para enviar tramas.
• Cuando un switch recibe una trama entrante con una dirección MAC que no figura
en la tabla CAM, satura todos los puertos con la trama, excepto el puerto que la
recibió.
Llenado de la tabla de direcciones MAC
Reenvío de tramas
Métodos de reenvío de un switch
Reenvío de tramas
Switching de almacenamiento y reenvío
• Permite que el switch haga lo
siguiente:

▪ Verificar si hay errores

(mediante la verificación de
FCS)

▪ Realizar el almacenamiento
en búfer automático

• Proceso de reenvío más lento

Reenvío de tramas
Switching por método de corte
• Permite que el switch
comience a reenviar en
10 microsegundos
aproximadamente.

• No es necesaria la
verificación de FCS.

• No hay almacenamiento en
búfer automático.
Dominios de switching
Dominios de colisiones
Dominio de colisiones: es el segmento en el que los
dispositivos compiten para comunicarse.

Puerto de switch Ethernet:

• Cada segmento se encuentra en su propio dominio
de colisiones.
• Dúplex completo elimina las colisiones.
• Se autonegocia el dúplex completo cuando el
dispositivo adyacente también funcione en dúplex
completo.
Dominios de switching
Dominios de difusión
Un dominio de difusión es la
distancia de la red a la que se
puede escuchar una trama de
difusión.
• Los switches reenvían tramas
de difusión a todos los puertos;
por lo tanto, no dividen los
dominios de difusión.
• Todos los puertos de un switch
(con su configuración
predeterminada) pertenecen al
mismo dominio de difusión.
• Si hay dos o más switches
conectados, las difusiones se
reenvían a todos los puertos de
todos los switches (excepto al
puerto que recibió
originalmente la difusión).
Dominios de switching
Alivio de la congestión en la red

Los switches ayudan a aliviar la congestión en la red de las siguientes

maneras:
• Facilitan la segmentación de una red LAN en dominios de colisiones
independientes.
• Brindan una comunicación en dúplex completo entre los
dispositivos.
• Aprovechan su alta densidad de puertos.
• Almacenan en búfer tramas grandes.
• Emplean puertos de alta velocidad.
• Aprovechan su proceso de switching interno veloz.
• Tienen un bajo costo por puerto.
SEGURIDAD DEL SWITCH
Vulnerabilidades del switch
• Ataques:
• Password
• DoS
• MAC address flooding
• DHCP

• Mitigación:
• Disable unused ports
• Configure Port Security
• Configure DHCP snooping
Ataques a Passwords

• ¿Cómo protegerse de ataques de fuerza bruta?

• Contraseñas robustas. Cámbielas regularmente.

• ACLs para controlar en qué dispositivos se permite el acceso remote (Líneas vty).

• Herramientas de seguridad de redes para realizar auditorías de red y pruebas de

penetración.

• ¿Cómo protegerse de ataques DoS?

• Actualice a la version más reciente del Sistema operativo.

• Deshabilitar puertos no utilizados.

Deshabilitar puertos no utilizados y
asignar a una VLAN “fantasma”
S1(config)#int range fa0/20 – 24
S1(config-if-range)# switchport access vlan 100
S1(config-if-range)# shutdown
%LINK-5-CHANGED: Interface FastEthernet0/20, changed state to
administratively down
%LINK-5-CHANGED: Interface FastEthernet0/21, changed state to
administratively down
%LINK-5-CHANGED: Interface FastEthernet0/22, changed state to
administratively down
%LINK-5-CHANGED: Interface FastEthernet0/23, changed state to
administratively down
%LINK-5-CHANGED: Interface FastEthernet0/24, changed state to
administratively down
S1(config-if-range)#
Layer 2 Switching
192.168.1.0 /24
En este escenario, el .10 .11
switch acaba de ser 000a.f38e.74b3 00d0.ba07.8499
reiniciado. F0/1 F0/2

F0/3 F0/4
Verificar el contenido
de la table de .12 .13
direcciones MAC. 0090.0c23.ceca
0001.9717.22e0

Sw1# show mac-address-table

Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

Sw1#
 192.168.1.0 /24
Layer 2 Switching .10 .11
000a.f38e.74b3 00d0.ba07.8499
F0/1 F0/2

PC-A pings PC-B. F0/3 F0/4

.12 .13
0090.0c23.ceca
0001.9717.22e0

PC-A> ping 192.168.1.11

Pinging 192.168.1.11 with 32 bytes of data:

Reply from 192.168.1.11: bytes=32 time=62ms TTL=128

Reply from 192.168.1.11: bytes=32 time=62ms TTL=128
Reply from 192.168.1.11: bytes=32 time=63ms TTL=128
Reply from 192.168.1.11: bytes=32 time=63ms TTL=128

Ping statistics for 192.168.1.11:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 62ms, Maximum = 63ms, Average = 62ms

PC-A>
 192.168.1.0 /24

Layer 2 Switching .10

000a.f38e.74b3
.11

00d0.ba07.8499
F0/1 F0/2

F0/3 F0/4

.12 .13
0090.0c23.ceca
0001.9717.22e0

Sw1# show mac-address-table

Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

1 000a.f38e.74b3 DYNAMIC Fa0/1

1 00d0.ba07.8499 DYNAMIC Fa0/2
Sw1#
Unicast Flooding
Unicast
Mac Address Table
1.Aprende – Examine Source
BBBB AAAA MAC address
In table: Reset 5 min timer
Not in table: Add Source MAC
address and port # to table
Mac Address Table
Port MAC Address 2.Reenvía – Examine
Destination MAC address
Not in table In table: Forward out that port.
Not in table: Flood out all ports
except incoming port.

Unknown Unicast

1 2

AAAA BBBB
35
MAC Flood Attack
• Si el ataque se inicia cuando empieza el día, la
table CAM (Content Addressable Memory)
estará recibiendo el encendido de la mayoría
de equipos (pcs de empleados por ejemplo).
• Una inundación maliciosa podría invalidar la
tabla CAM con demasiadas entradas:
• 155,000 MAC entries per minute
• “Typical” switch can store 4,000 to 8,000 MAC
entries
• Eventually, the switch will age out older, invalid CAM
table entries
• New, legitimate devices will be able to create an
entry in the CAM
• Traffic flooding will cease
• Intruder may never be detected (network seems
normal).
Unicast Flooding
Unicast
Mac Address Table
1.Aprende – Examine Source
BBBB AAAA MAC address
In table: Reset 5 min timer
Not in table: Add Source MAC
Mac Address Table address and port # to table
Port MAC Address
2.Reenvía – Examine
Not in table or table is full Destination MAC address
In table: Forward out that port.
Not in table: Flood out all ports
except incoming port.

Unknown Unicast

1 2

AAAA BBBB
Solución: Port Security
• Permite limitar el número de
direcciones MAC aprendidas en un
puerto.
• Si se exceed, se puede configurar
una reacción del switch.
• Configure cada accesso al Puerto
para aceptar una dirección MAC o
un pequeño grupo de direcciones
MAC.
• Las tramas provenientes de otras
MAC no son reenviadas. 1 1 1 1
• Por defecto, el Puerto se apagará si
se conecta el dispositivo errado.
• Tiene que habilitarse de nuevo
manualmente.
Port Security
• Use el commando para interfaz switchport port-
security para habilitar port security en un puerto.

Switch(config-if)#
switchport port-security [max value] [violation {protect |
restrict | shutdown}] [mac-address mac-address [sticky]]
[aging time value]

• Sirve para:
• Establecer un número máximo de direcciones MAC.
• Definir la reacción ante volaciones de seguridad.
• MAC address(es) can be learned dynamically, entered
manually, or learned and retained dynamically.
• Set the aging time for dynamic and static secure address
entries.
• Para verificar el status: show port-security
Port Security: Secure MAC Addresses
• The switch supports these types of secure MAC addresses:
• Static
• Configured using switchport port-security mac-address mac-address
• Stored in the address table
• Added to running configuration.
• Dynamic
• These are dynamically configured
• Stored only in the address table
• Removed when the switch restarts
• Sticky
• These are dynamically configured
• Stored in the address table
• Added to the running configuration.
• If running-config saved to startup-config, when the switch restarts, the interface does not
need to dynamically reconfigure them.
• Note: When you enter this command, the interface converts all the dynamic secure MAC
addresses, including those that were dynamically learned before sticky learning was
enabled, to sticky secure MAC addresses. The interface adds all the sticky secure MAC
addresses to the running configuration.
Port Security Defaults
Feature Default setting
Port Security Disabled on a port

Maximum # of Secure MAC Addresses 1

Shutdown
Violation • The port shuts down when the maximum number of secure MAC addresses is
exceeded, and an SNMP trap notification is sent.

Sticky Address Learning Disabled

• Secure MAC addresses can be configured as

follows:
• Dynamically (learned but not retained after a
reboot)
• Statically (prone to errors)
• Sticky (learned dynamically and retained)
Dynamic Secure MAC address

• Learned dynamically
• S1(config-if)# switchport mode access
• S1(config-if)# switchport port-security

• By default, only 1 address is learned.

• Put in MAC address table
• Not shown in running configuration

• It is not saved or in the configuration when

switch restarts.
Static Secure MAC address

⚫ Static secure MAC address is manually configured in interface config mode

S1(config-if)# switchport mode access

S1(config-if)# switchport port-security mac-address 000c.7259.0a63

⚫ MAC address is stored in MAC address table

⚫ Shows in the running configuration

⚫ Can be saved with the configuration.

Sticky Secure MAC address

• Dynamically learned and can be retained.

• S1(config-if)# switchport mode access
• S1(config-if)# switchport port-security mac-address sticky

• You can choose how many can be learned (default 1).

• Added to the running configuration
• Saved only if you save running configuration.
• Note:
• When you enter this command, the interface converts all the dynamic
secure MAC addresses, including those that were dynamically learned
before sticky learning was enabled, to sticky secure MAC addresses.
• The interface adds all the sticky secure MAC addresses to the running
configuration.
interface FastEthernet0/2
switchport mode access
• Sets the interface mode as access; an interface in the default mode (dynamic
desirable) cannot be configured as a secure port.
switchport port-security
• Enables port security on the interface
switchport port-security maximum 6
• (Optional) Sets the maximum number of secure MAC addresses for the interface.
The range is 1 to 132; the default is 1.
switchport port-security aging time 5
• Learned addresses are not aged out by default but can be with this command.
Value from 1 to 1024 in minutes.
switchport port-security mac-address 0000.0000.000b
• (Optional) Enter a static secure MAC address for the interface, repeating the
command as many times as necessary. You can use this command to enter the
maximum number of secure MAC addresses. If you configure fewer secure MAC
addresses than the maximum, the remaining MAC addresses are dynamically
learned.
switchport port-security mac-address sticky
• (Optional) Enable stick learning on the interface.
switchport port-security violation shutdown
• (Optional) Set the violation mode, the action to be taken when a security
violation is detected. (Next)
NOTE: switchport host command will disable channeling, and enable
access/portfast
Switch(config-if)# switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled
Port Security: Steps
Port Security: Maximum of 1
• The secure MAC addresses are stored in an address table.
Switch(config-if)# switchport port-security maximum 1

• Setting a maximum number of addresses to 1 and

configuring the MAC address of an attached device ensures
that the device has the full bandwidth of the port.
 X
Port Security: Static
Addresses

Switch(config)# interface fa 0/1

Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 3
Switch(config-if)# switchport port-security mac-address 0000.0000.000a
Switch(config-if)# switchport port-security mac-address 0000.0000.000b
Switch(config-if)# switchport port-security mac-address 0000.0000.000c

• Restricts input to an interface by limiting and

identifying MAC addresses of the stations allowed
to access the port.
• The port does not forward packets with source
addresses outside the group of defined addresses.
Port Security: Violation
• Station attempting to access
the port is different from any
of the identified secure MAC
addresses, a security
violation occurs.
Port Security: Violation
Switch(config-if)#switchport port-security violation
{protect | restrict | shutdown}

• By default, if the maximum number of connections

is achieved and a new MAC address attempts to
access the port, the switch must take one of the
following actions:
• Protect: Frames from the nonallowed address are
dropped, but there is no log of the violation.
• Restrict: Frames from the nonallowed address are
dropped, a log message is created and Simple
Network Management Protocol (SNMP) trap sent.
• Shut down: If any frames are seen from a
nonallowed address, the interface is errdisabled, a
log entry is made, SNMP trap sent and manual
intervention (no shutdown) or errdisable recovery
must be used to make the interface usable.
DHCP Attacks

• DHCP is a network protocol used to automatically assign

IP information.

• Two types of DHCP attacks are:

• DHCP spoofing: A fake DHCP server is placed in the network to
issue DHCP addresses to clients.
• DHCP starvation: DHCP starvation is often used before a DHCP
spoofing attack to deny service to the legitimate DHCP server.
DHCP Review
DHCP Spoof Attacks
“Here you go, I
might be first!”
(Rouge) “I need an IP
address/mask, default
“I can now gateway, and DNS
forward these on server.”
to my leader.”
(Rouge) “Got it, thanks!”

“Already got the info.”

“Here you go.”
(Legitimate)
All default gateway
frames and DNS
requests sent to
Rogue.
Solution:
Configure DHCP Snooping
• DHCP snooping is a feature
that determines which switch
ports can respond to DHCP
requests.
• Ports are identified as trusted
and untrusted.
• Trusted ports: Host a DHCP
server or can be an uplink toward
the DHCP server and can source
all DHCP messages, including
DHCP offer and DHCP
acknowledgement packets
• Untrusted ports: Can source
requests only.
 DHCP Snooping
By default all interfaces are untrusted.

Fa0/0

S1
S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10,20
Gig0/1
S1(config)# interface gig 0/1
S1(config-if)# ip dhcp snooping trust

S1(config)# interface fa 0/0

S1(config-if)# ip dhcp snooping limit rate 100

Fa0/0
DHCP Snooping
“Here you go, I
might be first!” “I need an IP
(Rouge) address/mask,
default gateway,
Switch: This is an and DNS server.”
untrusted port, I will
block this DHCP Offer”
“Thanks, got it.”

“Here you go.”

(Legitimate)

Switch: This is a trusted port, I

will allow this DHCP Offer”